Beitrag

datenschutz cert GmbH als GS-Zertlab für das BSI tätig Do 20.09.2012

Ein Zertifikat für die Cloud?

Am 17.09.12 traf sich die Unterarbeitsgruppe "Sicheres Cloud Computing" des Nationalen IT-Gipfels 2012 in Bonn, um Herausforderungen und Lösungsansätze für sicheres Cloud Computing zu diskutieren. Wie wichtig dieses Thema ist, wurde unlängst auch in einer durch die Deutsche Telekom beauftragten Umfrage des Allensbacher Instituts (Deutsche Telekom, CyberSecurity Report 2012) deutlich: Die Befragung von Entscheidungsträgern aus Politik und Wirtschaft in der Bundesrepublik Deutschland hat aufgezeigt, dass trotz der zunehmenden Nutzung von Cloud-Diensten durch Privatpersonen und Unternehmen, gut zwei Drittel der Entscheidungsträger aus Wirtschaft und Politik die Datenverarbeitung in der Cloud für "eher unsicher" oder "sehr unsicher" halten.

Auch im Rahmen dieser Tagung wurde noch einmal betont: Um den grundsätzlichen Prozess der Informationssicherheit auch im Cloud-Umfeld zu etablieren, müssen neben den herkömmlichen weitere Bedrohungen berücksichtigt werden; dazu gehören Angriffe auf die Vertraulichkeit und Integrität von Daten durch Mitarbeiter beim Cloud-Dienstleister sowie die Gefahr technischer Datenlecks bei Dienstleistern mit mehreren Kunden. Hinzu kommt, dass Nachlässigkeiten bei der Auswahl eines Dienstleisters oder bei der Vereinbarung von Service-Levels ungewollte Lücken in der Verfügbarkeit der gebuchten IT-Services zur Folge haben können.

Hervorgehoben wurde auch, dass dem Management von Information, d.h. der Beurteilung ihrer Kritikalität, dem Management von Speicherorten, Datenverschlüsselung, etc. bei der Verarbeitung von Daten in der Cloud eine zentrale Rolle zukommt; beispielsweise wenn es darum geht, welche Mindest-Sicherheitsanforderungen an die Cloud gestellt werden müssen, in der die Daten eines bestimmten Typs bearbeitet werden sollen. Gesetzliche Anforderungen spielen dabei eine zentrale Rolle: So unterliegt die Verarbeitung personenbezogener Daten in der Cloud nach deutschem Recht in jedem Fall §11 BDSG.

Der Vergleich der von verschiedenen Cloud-Anbietern angebotenen Leistungen kann aufwendig sein und auch die Beurteilung technischer Gegebenheiten, sowie die Prüfung der Einhaltung bestimmter Vorgaben (z.B. Wo erfolgt die Datenhaltung?) kann sich für den Cloud-Nutzer schwierig gestalten.

Die Zertifizierung der angebotenen Dienstleistungen ist ein Ansatzpunkt, um Vertrauen und Transparenz zwischen Anbieter und Nutzer von Cloud-Lösungen zu schaffen. Eine Zertifizierung der Konformität gemäß §11 BDSG ist für den Cloud-Anbieter eine bequeme Möglichkeit nachzuweisen, geeignete organisatorische und technische Maßnahmen zur Erfüllung der Anforderungen des o.g. Paragraphen ergriffen zu haben. Gleichzeitig kommt der Auftraggeber mit den für die Zertifizierung notwendigen Audits seiner Dokumentationspflicht nach.

Die datenschutz cert GmbH bietet ein Zertifikat zur Auftragsdatenverarbeitung gemäß §11 BDSG an, welches sich u.a. an anerkannten Standards zur Informationssicherheit, wie etwa ISO/IEC 27001, orientiert. Mit dem Zertifikat kann der Auftragnehmer zeigen, dass die Prüfpunkte aus §11 BDSG bereits durch eine unabhängige Instanz überprüft worden sind. Geprüft wird der gesamte Prozess der Auftragsdatenverarbeitung beginnend mit der Vertragsgestaltung, über die Dokumentenprüfung bis hin zur Kontrolle der technisch-organisatorischen Sicherheitsmaßnahmen vor Ort. Dieser strukturierte Prüfansatz stellt die Vollständigkeit der Prüfung sicher und minimiert damit das Haftungsrisiko des Unternehmens bei Datenschutzpannen.

Haben Sie Fragen zu dem Thema? Dann kontaktieren Sie gerne

 

Kontakt
datenschutz cert GmbH
Dr. Sönke Maseberg
Konsul-Smidt-Str. 88 a
28217 Bremen
Tel.: +49 (0) 421 - 69 66 32 -52, Fax: -51
smaseberg@remove-this.datenschutz-cert.de  

Von Dr. Sönke Maseberg in der Rubrik cert News